El protocolo de comercio entre cadenas LI.FI se ha visto afectado por "un ataque de inyección de llamadas", informó el martes la plataforma de seguridad Beosin Alert. Se han robado del protocolo unos 10 millones de dólares en criptoactivos, incluidos 6,3 millones de USDT, 3,2 millones de USDC y 169.000 DAI.
Lea también: Kraken revela que un error permitió a 'investigadores de seguridad' deshonestos explotar 3 millones de dólares
El cofundador de LI.FI, Philipp Zentner, confirmó eldent en X (anteriormente Twitter), señalando que sólo los usuarios que habían configurado manualmente "aprobaciones infinitas" se vieron afectados. “Por favor, no interactúe con ninguna aplicación impulsada por LI.FI por ahora. Estamos investigando un posible exploit”, escribió Zentner.
LI.FI supuestamente fue pirateado a través del mismo error de siempre
La vulnerabilidad se trachasta la función “depositToGasZipERC20()” deltracLI.FI. Según el análisis de Beosin, la función puede intercambiar tokens específicos por tokens de plataforma y depositarlos en eltracGasZip, pero no restringe los datos para la invocación de la llamada, lo que permite al atacante retirar activos de los usuarios que tienen aprobaciones para eltrac.
Por otra parte, otra plataforma de seguridad, Peckshield, informó que LI.FI también fue explotado hace dos años debido a la misma vulnerabilidad. "Al analizar el hack del protocolo LI.FI de hoy, notamos un hack anterior en el mismo protocolo el 20 de marzo de 2022", publicó Peckshield en X. "El error es básicamente el mismo".
@lifiprotocol de hoy , notamos un hack anterior al mismo protocolo el 20 de marzo de 2022.
El error es básicamente el mismo. https://t.co/YcuEe4efOT
¿Estamos aprendiendo algo de las lecciones pasadas? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
– PeckShield Inc. (@peckshield) 16 de julio de 2024
Durante el hackeo del protocolo LI.FI de 2022, se robaron y drenaron del protocolo alrededor de $600,000 en activos, con 29 billeteras afectadas. El equipo dijo en un informe post-mortem que el error se solucionó y que todos los usuarios afectados fueron reembolsados.
Lea también: En 2024 se registran casi 1.400 millones de dólares en robos de criptomonedas hasta el momento
Hasta el momento, no hay discusiones sobre el reembolso a los usuarios afectados por el último hack, al menos en el momento de escribir este artículo. Sin embargo, LI.FI publicó que están investigando el exploit y recomendó a los usuarios que no interactúen con ninguna aplicación impulsada por LI.FI mientras tanto.
Eldent de hoy se produce poco más de un año después de que LI.FI recaudara 17,5 millones de dólares en una ronda de financiación Serie A para permitir a los usuarios DeFi comerciar a través de diferentes cadenas de bloques, lugares y puentes. Afirma haber facilitado más de 10 mil millones de dólares en volumen total de transferencias.
Academia Cryptopolitan: ¿Cansado de columpios del mercado? Aprenda cómo DeFi puede ayudarlo a generar ingresos pasivos constantes. Registrarse ahora
